Арендую сервер для небольшого проекта на python. И вот приходит мне уведомление, что за сутки очень большой трафик (больше 500 гБайт), хотя реально было всего 3 посетителя. Ладно бы один раз такое, но как минимум двое суток продолжается ситуация, и хостер мне уже extra-счет готовит.
Полез я, значит, разбираться. И выяснилось, что кто-то сидел под root-ом и запустил какой-то скрипт. Теперь давайте по порядку.
Началось все с письма от хостинг-провайдера, что я превысил трафик-лимит. Странно, ведь посетителей на этом проекте всего-то 3-5 в сутки. Смотрю статистику по сайту — действительно, пару уникальных посещений.
Захожу в админ-панель хостера, а нагрузка шок:
Показатели по дням, слева — прошлый месяц, справа — текущий. Как видим, 12, 13 и 14 число сильная нагрузка. 14 числа вечером я стал разбираться.
Так как посетителей немного, подумал что проблема на самом сервере. Захожу, смотрю в процессах (htop) много обращений к файлу ready.txt от скрипта svmap.py, хотя я вообще не понимаю что это. Начинаю ходить по папкам и нахожу новую папку sip, где и размещен этот файл. Что странно — я его точно не создавал.
Значит, думается мне, кто-то еще сидит в системе.
Проверяю я командой who -u чьи сессии сейчас активны. А кроме меня еще один root , не с моего айпи (он, кстати, бьется по сервисам гугл, хотя ничего не устанавливал). Смотрю его ID процесса и «убиваю».
kill 17164
Сразу меняю пароль на root. Прошлый пароль нигде не палился, не сохранялся, я сидел не под рутом обычно. Да и пароль был не простой, а сгенерированый. Очень странная ситуация.
Трафик сразу упал. Я думаю, что кто-то поставил какой-то скрипт рассылки или что-то вроде того. По активным сессиям никого нового, кто был раньше last -i — тоже пусто.
Трафик стабилизировался, посмотрим что будет дальше.
Я в недоумении от такой ситуации. Я не специалист, но хорошо что так закончилось. У меня на сервере трафик лимитирован (брал под тесты, оставил один проект на сервере), и хостер уже хотел доплату выставлять.
А вы сталкивались с такой ситуацией? Или может такая же история с этим скриптом?
Добавлено позже.
Погуглил, и вижу что sip и скрипт svmap.py это скрипт интернет-защиты. Сканнер на сервере. Но я его точно не ставил, а хостер вряд ли — у меня не куплена поддержка. Да и зачем им она (защита), если она такой трафик тянет и столько обращений к другим айпи? Не понятно.
Очень много разговоров в последнее время за токен NOT. Много бирж будут делать листинг токена,…
Телеграм недавно запустил возможность стейкать (замораживать) USDT и получать за это их валюту TON. Очень…
Биржа криптовалют Binance проводит сейчас промо-акцию: новым пользователям дают ваучеры в сумме 110 долларов. Деньги…
Самый главный момент в работе с youtube - это получить ключ api через консоль разработчика…
Тестирую одну схему, и нужно на много видео наложить watermark. Решил делать через Python 3,…
Пришла в голову одна интересная идея. Связанно с тиктоком. Решил поискать исполнителя, который будет монтировать…